3.2 Belső szubjektív kontrollok
3.2.3 Az egyén más jellemző tulajdonságai
Ebbe a csoportba olyan kockázati tényezők kerültek, amelyek kifejezetten az adott személyre vonatkoznak, de nem konkrétan a sikerességet befolyásolják. A tagsági függvények a következők:
Stabil: [0 0 0.1 0.4];
Átlagos: [0.1 0.4 0.6 0.9];
Instabil: [0.6 0.9 1 1].
Az egyéni stabilitást befolyásoló tényezőket a következő ábra mutatja be részletesen:
30. ábra - Egyéni stabilitást befolyásoló tényezők (saját szerkesztés)
Egészségügyi állapot
Az ábrán és a fuzzy rendszerben (EÜ állapot).
Feltételeztem, hogy a rossz egészségügyi állapot hatással lehet arra, hogy valaki végül elkövet-e egy adott cselekedetet, mivel az egészségesség a legalapvetőbb fiziológiai szükségleteinkhez tartozik. Ennek véleményem szerint több oka is lehet. Egy súlyosan beteg ember, amennyiben van családja, „úgy is mindegy” alapon könnyebben hajthat végre olyan cselekedetet, mint aki ereje teljében van, és egy esetleges felelősségre vonás az egész életére hatással lehet. A beteg emberek általában igyekeznek megragadni
Itt 3 karakternél építettem be a betegséget. Kifejezetten arra voltam kíváncsi, hogy ha súlyos esetről van szó, többen választják-e kockázati tényezőként. Ezt úgy alakítottam ki, hogy 2 esetben simán „betegeskedő”-ként jellemeztem, míg egy esetben a „súlyos betegsége van” kifejezés szerepelt a leírásban. Ez utóbbira 38 jelölés érkezett, míg a másik kettőre összesen 17. A kapott adatok alapján az feltételezhető, hogy minél betegebb valaki, annál nagyobb kockázatot jelent.
További fontos dolog azon munkavállalók kockázatának a megismerése, akik valamilyen testi, adott esetben szellemi fogyatékossággal, betegséggel rendelkeznek.
Ezt az egyszerűség kedvéért szintén az egészségügyi állapotba sorolom, de ha ennek jelentős relevanciája van, akkor érdemes külön foglalkozni vele és a kockázatok kezelésére speciális informatikai eszközöket alkalmazni.
A következő skálával jellemezhető ez a tényező:
Egészséges: [0 0 0.1 0.4];
Beteg: [0.1 0.4 0.6 0.9];
Súlyos beteg: [0.6 0.9 1 1].
Személyiségi jegyek
A SZEM modellben javasolt módon a személyiségi jegyek bevezetését én is fontosnak tartom. Az, hogy milyen belső tulajdonságai vannak egy adott személynek, azt is befolyásolhatják, hogy önmagától követne-e el egy titoksértést valaki, de bizonyos esetekben azt is, hogy mennyire fizethető le egy külsős fél által valamekkora pénzért cserébe. Ezt a tényezőt a személyiségi tényezők kockázatosságával jellemeztem:
Nem kockázatos: [0 0 0.1 0.4];
Kezelhető: [0.1 0.4 0.6 0.9];
Kockázatos: [0.6 0.9 1 1].
Fontosnak tartom kiemelni ismét, hogy a modell nem alkalmas kezelni a klinikai személyiségzavarokat. Münnich és Hunyadi megközelítése e területen az általánosan is elfogadott ötfaktoros (Big 5) modell [152] bevezetése, és azon belül is a lelkiismeretesség (beszabályozottság, felelősség, kötelességtudat stb.) és a barátságosság (szeretetreméltóság, bizalom, őszinteség stb.) vizsgálata, hiszen ezek negatív kapcsolata a becstelenséggel empirikus módon bizonyított [153].
A Teljesítményértékelési Rendszerben (TÉR) található kompetenciák közül a lelkiismeretesség dimenziójához a „Figyelem a feladatok végrehajtására” „Határidők betartása” „Munkatempó és feladatvállalás”, míg a barátságosságéhoz a
„Csapatmunka, együttműködés” és a „Problémamegoldás” kapcsolható [113]. Ezeket figyelembe véve bármely munkahelyen mérhetőek ezek a tényezők.
Számos negatív tulajdonság is beilleszthető ide, amit a támadók előszeretettel használnak ki [53]. Ilyen a hiszékenység, a naivitás és a figyelmetlenség is. Ez utóbbi azonban külön szerepel, mivel különösen nagy szerepe van abban, hogy valaki gondatlanságból követ-e el egy konkrét tettet. Szorosan kötődik ezekhez a tényezőkhöz a pletykás személyiségi jegy, mely a kérdőívet kitöltők válaszai alapján nem hagyható ki a kockázatos tulajdonságok közül.
Mivel egy adott ember személyiségi jegyei, privát élete ennél a tényezőnél mutatkozik meg, így feltételezhetően egy valós felmérésnél ebben az esetben lesznek a legnagyabb bizonytalanságok, adott esetben ezeknél a pontoknál áll a legkevesebb információ a munkáltató rendelkezésére. Ez a fuzzy logikának köszönhetően azonban jól kezelhető, mint ahogy az is, ha egy vizsgáló nem ért egyet az általam meghatározott tényezőkkel, azok osztályozásával. Ezekben az esetekben egyszerűen csak változtatni szükséges a modell szabályrendszerén, illetve a bemeneteken és azok tagsági függvényein.
A fent említett öt személyiségi jegynek (lelkiismeretesség, barátságosság, hiszékenység, naivitás és pletykásság) a tagsági függvényei leírhatók azzal, hogy jellemző-e egy egyénre vagy sem. Az első kettő pozitív tulajdonság, ezért a tagsági függvényeik:
Igen: [0 0 0.1 0.4];
Talán: [0.1 0.4 0.6 0.9];
Nem: [0.6 0.9 1 1].
A három negatív tulajdonságnak pedig a fordítottja:
Nem: [0 0 0.1 0.4];
Talán: [0.1 0.4 0.6 0.9];
Igen: [0.6 0.9 1 1].
Fontos megvizsgálni azonban a manipulációra alkalmas személyiségi jegyeket is. Ezt a viselkedési stílust nevezzük machiavellizmusnak. Az alacsony machok olyan
csoportokhoz való tartozás, és nekik fontos elvekkel, emberekkel könnyen tudnak azonosulni. A magas mach személyeknél ennek az ellenkezője igaz. Nekik az önérdek (bizonyos esetben mások érdekének) érvényesítése a prioritás. Ez a viselkedés nem egyenlő a másoknak történő ártással, de ha azzal párosul, akkor nagy kockázatot jelenthet [154]. Fontosnak tartom megjegyezni, hogy a machiavellizmus nem egyenlő a nárcizmussal vagy a (szubklinikai) pszichopátiával, noha sok esetben van átfedés [155].
A tagsági függvények ez esetben a következőek:
Alacsony: [0 0 0.1 0.4];
Átlagos: [0.1 0.4 0.6 0.9];
Magas: [0.6 0.9 1 1].
Érzelmi intelligencia
Az ábrán és a fuzzy rendszerben (EQ).
A magas érzelmi intelligenciával rendelkező személyek képesek tisztán látni az érzelmi állapotuk, a gondolataik és a tetteik közötti kapcsolatot, valamint kontrollt tudnak gyakorolni saját érzelmeik felett. Mivel képesek mások állapotát is megfelelően észlelni, ezért sok esetben befolyásolni tudnak másokat. A magas EQ-val rendelkező egyének a kapcsolatépítés és fenntartás területén is sikeresek tudnak lenni [156].
Ez a képesség tudatosan használva kockázatos is lehet, azonban ennek hiányában egy illetőt sajnos könnyen befolyásolni, így manipulálni is lehet. Az EQ tagsági függvényeit a következő képen határoztam meg:
Magas: [0 0 0.1 0.4];
Átlagos: [0.1 0.4 0.6 0.9];
Alacsony: [0.6 0.9 1 1].
Önhatékonyság
Az önhatékonyság egy nagyon egyszerű, de fontos kockázati tényező. Alapvetően jól mérhető tapasztalati úton. Ez a kockázati tényező azt takarja, hogy amit akar egy egyén, azt véghez is viszi. Ha valakiben ez a tulajdonság erős és ki szeretne csempészni valamilyen szenzitív információt, akkor az meg is teszi. Ellenkező esetben, ha valaki általában hamar feladja a dolgokat, akkor egy-két komolyabb akadály, néhány sikertelen próbálkozás után lehetséges, hogy fel is adja a próbálkozást. A tagsági függvények a következőképpen alakulnak ebben az esetben:
Nem önhatékony: [0 0 0.1 0.4];
Átlagos: [0.1 0.4 0.6 0.9];
Önhatékony: [0.6 0.9 1 1].
Zsarolhatóság
Egy ember alapvetően számos ok miatt zsarolható, azonban véleményem szerint van három nagyon meghatározó tényező, amely az átlagembereket érintheti, és nem minősül elhanyagolhatóan ritkán előforduló extrém esetnek (pl. elrabolják egy családtagját vagy barátját). Egyik, talán legjellemzőbb, ha valaki a társadalmi normától eltér és nem szeretné, ha az kitudódna. Másik eset, ha az illető személy valamilyen erős függőségben szenved, aminek kielégítésével kecsegtet egy harmadik fél. Ez lehet az olcsó, nagymennyiségű dohányáru, a gyógyszer, vagy drogfüggő számára biztosított szer is. A harmadik pedig azoknak az esete, akik anyagilag kiszolgáltatottak, vagy egyszerűen kevesebb a mindennapi betevőjük másoknál.
Ezt a kockázati tényezőt a zsarolhatóság nehézsége alapján értelmezem:
Nehezen: [0 0 0.1 0.4];
Átlagosan: [0.1 0.4 0.6 0.9];
Könnyen: [0.6 0.9 1 1].
Számos olyan eltitkolt eltérés lehet, amely eltér a társadalmilag elfogadott normától, ráadásul ezek nagyon különbözőek lehetnek konkrét országtól, régiótól függően. Az, hogy valaki nem meri felvállalni például vallását, politikai nézeteit vagy szexuális orientációját, lehet csupán azért, mert fél a közvetlen környezet reakciójától, a kiközösítés lehetőségétől, de bizonyos helyeken előfordulhat, hogy ezek miatt komolyabb szankciók is várhatnak rá. A történelem és sajnos a jelenkor is tele van hasonló példákkal. Egy másik példa az ilyen esetekre, ha valakinek például házasságon kívüli szeretője van, és fél, hogy ez kitudódik. Az ábrán és a fuzzy rendszerben Titkolt eltérés néven található meg.
A tagsági függvények az eltérés mértékében a következőek:
Kicsit: [0 0 0.1 0.4];
Jobban: [0.1 0.4 0.6 0.9];
Nagyon: [0.6 0.9 1 1].
A függőség egy nagyon komplex jelenség. Genetikai hajlamok, neuroanatómiai sajátosságok, pszichológiai jelenségek, a kultúrában gyökerező addiktogén klíma mind hatást gyakorol rá [157]. A kémiai szerek (pl. kábítószer, nikotin, alkohol) által okozott függőség mellett beszélhetünk viselkedési addikciókról is. Ilyen lehet a kleptománia, szex-addikciók, kapcsolatfüggőség, a szerencsejáték-függőség is, de az információs társadalom robbanásszerű fejlődésével párhuzamosan új típusú függőségek is kialakultak. Noha nem a technológia, hanem a vele párhuzamosan kialakuló szocializáció hordozza a veszélyt [158], mégis fontos felismerni azt. Az IT-hoz köthető függőségi forma például az internetfüggőség [159] a cyberszex vagy a cyber-kapcsolatok iránti függőség, a kényszeres netezés, információ túltöltés, számítógép-függőség [160], de az okostelefonok és a közösségi média elterjedésével további típusok is kialakultak.
A függés mértéke alapján a következő kategóriákat határoztam meg:
Nem függő: [0 0 0 0.1];
Enyhén függő: [0 0.1 0.35 0.45];
Függő: [0.35 0.45 0.7 0.8];
Szenvedélyszerűen függő: [0.7 0.8 1 1].
Természetesen más és más hatással vannak az ember életére, azonban a függőségek a támadói oldalról kihasználhatóak, hiszen egy adott ember életéhez tartozik az adott cselekvés vagy kémiai vegyület. Ezek meghatároznak szokásokat, amelyeket egy social engineering támadás során nagyon könnyen fel lehet használni. A függőségekre tehát kockázati tényezőként kell tekinteni azok súlyosságától függően. Természetesen egy alkalmankénti alkoholfogyasztó személyt más módon kell kezelni, mint egy olyat, aki rendszeresen szintetikus drogokat fogyaszt.
Az anyagi helyzet jelentőségét véleményem szerint sokan túlmisztifikálják. Egy stabil önképpel rendelkező személy anyagi helyzetétől függetlenül nem fog szándékosan információt szivárogtatni. Azonban két ugyanolyan személyiségű embert feltételezve, akik csak anyagi helyzetükben térnek el, a szegényebb egyén nagyobb kockázatot jelent. Ennek csupán az az oka, hogy a támadók célja is a profitmaximalizálás. Ezért feltételezhetően egy rosszabb anyagi helyzetben lévő embernek kevesebb értékű ellenszolgáltatás (kenőpénz, juttatás stb.) elegendő, mint annak, aki jobb anyagi körülmények között él. Azonban minden esetben kockázatnövelő hatást jelent a
hiteltartozás. Ennek mértéke, jellege (banki, uzsora stb.) határozhatja meg a kockázat növekedését.
Anyagi helyzet szerint négy csoportba sorolhatók az emberek [161]. Ez az érték tipikus fuzzy halmaz. Nem eldönthető, hogy akinek X forintja van, az még szegény, de X+1 forinttól már a középosztályba tartozik. A mélyszegény kategóriába az a háztartás tartozik, ahol a havi bevétel még a szükséges minimum kiadásokat sem fedezi; azaz nincs egészséges lakókörnyezet, nem telik egészséges ételre vagy az alapvető orvosi ellátás fedezésére. Itt a kiberbiztonsági kockázat akkor értelmezhető, ha egy rosszindulatú személy felbérel egy mélyszegénységben élőt, hogy hajtson végre valami tettet.
A szegénységi spektrum egyik végén azok a társadalmi minimum alatt élők találhatók, akik tudnak vásárolni az életben maradáshoz elegendő ételt, fedél van a fejük felett és alap egészségügyi kiadásaikat is fedezni tudják. A skála másik vége pedig, ahol nem okoz gondot egy olcsóbb lakás, gépjármű fenntartása. Az itt lévő háztartások pénzüket beosztva néhány 10 ezer forintot félre tudnak tenni havonta, így akár jól megfontolva nyaralni is el tudnak menni időnként. A gyerek egyetemét a szülők azonban csak lemondással tudják kigazdálkodni és ugyan egy hirtelen jött nagyobb orvosi kiadást ki tudnak fizetni, de egy hosszabb betegség komoly anyagi problémát jelent. A szegény családokban élők számára például a gyermek iskoláztatásának, vagy valamely családtag komolyabb betegsége gyógykezelésének fedezésére tett ígéret lehet megfelelő motiváció egy bizalmasabb információ kiszivárogtatására.
A középosztályba tartozó háztartások számára nem a pénz megléte vagy annak hiánya dönti el, hogy megvesznek-e egy drágább eszközt vagy elmennek-e nyaralni egy nívósabb helyre, hanem az, hogy van-e hozzá kedvük. Ennek a skálának az alján helyezkednek el azok a jól kereső alkalmazottak (pl. fejlesztők), akik egy fizetésből el tudják/tudnák tartani az egész háztartást. Nem költekezhetnek ugyan kényük-kedvük szerint, de nincs gondjuk a hétköznapokban, és tartalékukból egy-két évig is kihúznák munka nélkül. A középosztály tetején vannak azok, akik tulajdonképpen nagyon jól élnek, akár luxusnak tekinthető vagyonuk is van, azonban költekezéseik fedezése érdekében dolgozniuk kell. Ennek a rétegnek a kiberbiztonsági kockázata önmagában nem igazán értelmezhető. Itt általában valamilyen sértettséggel, jellemvonással, kétes
bevételforrás leleplezésének megszellőztetésével lehet őket szándékos információszivárogtatásra ösztönözni.
Az utolsó kategóriába pedig azok a gazdagok tartoznak, akiknek soha nem kellene már dolgozni, és mégis olyan életszínvonalat tudnak maguknak és családjuknak fenntartani, amit egy átlagos középosztálybeli nem. Ennek a társadalmi kategóriának olyan jelentős vagyona van, hogy inkább csak kedvtelésből keres újabb pénzszerzési lehetőséget. Az ebbe a kategóriába sorolható személyeket anyagi javakkal motiválni önmagában nem érdemes. Számára az adrenalin, a kihívás, az izgalom lehet mozgatóerő.
A tagsági függvények az anyagi helyzetet figyelembe véve a következőek:
Gazdag [0 0 0.1 0.2];
Középosztálybeli [0.1 0.2 0.45 0.55];
Szegény [0.45 0.55 0.8 0.9];
Mélyszegény [0.8 0.9 1 1].
Szélső nézetek
Az adott társadalomhoz képest szélsőségesen eltérő, radikális vallási, politikai, eszmei vagy más típusú nézetek kockázatot jelentenek. Természetesen itt nem arról van szó, hogy egy egyén ne gyakorolhatná alapvető jogait. Csupán egy radikalizálódott személyt könnyebb egy eszme mentén rábírni olyan tettekre, melyeket egy kevésbé szélsőséges társa nem tenne meg. Egy külsős támadónak ráadásul nem is kell egyetértenie vagy azonos eszméket vallania egy célszeméllyel, elég csupán eljátszania azt. Ez növeli az összetartozás élményét, így könnyebben hajt végre bizonyos tetteket.
A kockázat aszerint nő ebben az értelemben, hogy az illető a radikalizálódás folyamatában hol tart. Moghamddamnak a terrorizmusra létrehozott modelljét [162]
Nógrádi György és Pákozdi Nóra fordította le [163]. Általánosan értelmezve egy jól definiálható skálát kapunk, legyen szó vallásról, politikáról vagy bármilyen eszméről:
31. ábra - A radikalizálódás modellje Moghamddam, illetve Nógrádi-Pákozdi munkássága alapján (saját szerkesztés)
Földszint:
A tagsági függvények ezek alapján a radikalizálódás mértékét alapul véve a következőképpen alakulnak:
Nem radikális: [0 0 0 0.1];
Enyhén radikális: [0 0.1 0.35 0.45];
Radikális: [0.35 0.45 0.7 0.8];
Nagyon radikális: [0.7 0.8 1 1].